Introducing Cloudflare Domain Protection — Making Domain Compromise a Thing of the Past

网络上的一切都始于域名。这是一家公司建立网络形象的基础。如果此基础受到破坏,公司将遭受巨大损害。

作为 CIO Week 的一部分,我们研究了公司在网络上始终面临的所有最大风险,以及我们该如何应对这些风险。对域名的破坏仍然是最大的风险之一。域名被劫持的方式有很多种,或可能被其他方式破坏,最严重的是:完全失去对域名的控制。

您不希望这种破坏发生在您身上。想象一下,如果域名遭到破坏,您失去的不仅仅是您的网站,还有您公司所有的电子邮件,无数个与您公司域名相关的系统,谁知道还有什么。攻击者破坏您的公司域名对每个首席信息官来说都是噩梦。而且,如果您是一名首席信息官,那么您无需再担心此事,因为,我们确实调查了每一个其他域名注册商,并对他们的安全措施非常不满意,我们需要推出我们自己的域名注册。

但是,现在我们已经做到了,我们想让域名破坏的事情永远不会再发生。有鉴于此,我们很高兴地宣布,我们将帮助所有企业用户扩展到新的域名记录保护级别。我们称其为 Cloudflare 域名保护,并为每一位 Cloudflare 企业客户免费提供这项服务。对于那些拥有受域名保护服务保护的客户,我们也将免除这些域名的所有注册和续订费用。Cloudflare 域名保护将在第一季度推出,您现在可以与您的客户经理沟通,获取该服务。

如果不了解域名是如何被破坏的,就不可能构建一个真正安全的域名注册商解决方案。在详细介绍我们的产品之前,我们想带您了解一下域名是如何遭到破坏的。

盗走您王国的钥匙

我们经常能听到三种类型的域名破坏。让我们逐一介绍。

域名转移

最严重的破坏之一是未经授权将域名转让给另一家注册商。虽然注册商之间的合作在过去几年里有了很大的改善,但要恢复被盗的域名仍然困难重重。这通常需要几周甚至几个月的时间。也可能需要采取法律行动。在最好的情况下,域名可能在几天内恢复;最坏的情况是,您可能永远无法恢复。

在注册商之间简单转让域名的能力至关重要,这也是保持域名注册市场竞争力的一部分。然而,这也带来了潜在的风险。大多数注册机构使用的转让过程涉及到使用令牌来授权转让。在广泛使用对公众可访问的 whois 数据进行编辑之前,也曾使用电子邮件审批流程。要窃取域名,不法分子只需要获得对授权代码的访问,即可移除任何域名锁。

未经授权的转让通常从破坏账户开始。在许多情况下,客户的帐户证书可能会被破坏。在其他情况下,攻击者会使用复杂的社会工程方案来控制域名,他们通常在将域名转移到另一个注册商之前,会在注册商帐户之间移动域名。

域名服务器更新

域名服务器更新是另一种可能破坏域名的方式。域名转让通常是试图永久接管域名,而域名服务器的更新在本质上则是暂时的。然而,即使更新通常可以很快被逆转,但这些类型的域名劫持可能非常极具破坏性。他们有可能窃取客户数据和拦截电子邮件流量。但最重要的是:他们会让一个机构的声誉受到严重损害。

域名挂起和删除

大多数域名挂起和删除均非恶意活动的结果,而是由于人为错误或系统故障而发生。在很多情况下,客户会忘记更新域名或忘记更新他们的付款方式。在其他情况下,注册商可能会错误地挂起或删除域名。

无论是何种原因:其结果是一个域名无法再被解析。

虽然这些不是域名可能被破坏的唯一方式,但它们是部分最具破坏性的方式。我们花费了大量时间关注这些类型的破坏,以及如何防止它们发生。

不同的域名处理方法

与很多熟人一样,我们一直对域名业务的现状感到沮丧。而且,这也并不是我们第一次在这里演示了。

我们已经提供一项注册商服务 —— Cloudflare Registrar ——这项服务对 Cloudflare 的所有客户开放。我们让它超级易于上手,并与 Cloudflare 相集成,我们在定价上没有任何服务费——我们承诺,我们永远不会向您收取任何高于每 TLD 批发价的费用。我们的目标是:消除“诱饵推销”和“无止境增销”(据我们的客户所言,这是域名行业最常见的两个术语)。相反,这是一个您会喜欢的注册商。显然,这就是 Cloudflare,因此,我们也将一些最佳安全性实践纳入其运行方式中。

对于我们要求最为苛刻的企业客户,我们也提供了 自定义域名保护。每个使用自定义域名保护的客户端都定义了其的更新记录的流程。正如我们介绍它时所说:“如果使用自定义域名保护的客户不希望我们改变其域名记录,那么除非有六个不同的个人在同一个周二(满月之日),通过一组预定义的电话号码向我们致电,各自读出多位独有的密码,并告诉我们他们最喜欢的冰淇淋口味,我们才会执行这一要求。说到做到。

没错,它很安全的,但并非扩展性最强的解决方案。因此,我们将对这项服务收取额外费用。然而,当我们与我们的企业客户交谈时,我们需要一种介于两者之间的东西——一个黄金解决方案,可以这么说,这种解决方案能够提供种高水平的保护,但并非传统保护。

进入 Cloudflare 域名保护。

“三道锁”法

我们提供的域名保护服务对域名进行保护的方法非常简单:识别各种攻击向量,并设计出分层的安全模式来应对每种潜在的威胁。

在我们研究每个安全层之前,理解注册商和注册机构之间的关系以及它们如何影响域名安全非常重要。您可以把注册机构看作是域名的批发商。他们会管理顶级域名(TLD)内所有注册域名的中央数据库。他们也负责决定批发价格和制定 TLD 的具体政策。

另一方面,注册商是域名的零售商,负责将域名销售给终端用户。每次注册、转让或续签时,注册商将向注册机构支付一笔交易费。

注册商和注册机构在所谓的“共享注册系统(SRS)”中共同管理域名注册。注册商使用一种称为可扩展配置协议(EPP)的 IETF 标准与注册机构进行通信。EPP 标准中包含了一组域名状态,注册商和注册机构可以应用这些状态来锁定域名,防止更新、删除和转让(给另一个注册商)。

注册商能够使用“客户端”锁,通常称为“注册商锁”。注册机构能够使用“服务器”锁,也称为“注册机构锁”。要重点注意的是,注册机构锁将始终取代注册商锁。这意味着,在注册商锁被移除之前,无法移除注册机构锁。

现在,让我们仔细看看我们的计划方法。

我们首先将 EPP 注册商锁应用到域名中。这些是 EPP 客户端锁,用于防止域名更新、转让和删除。

然后,我们会应用一个内部锁,以防止任何针对该域名 API 调用的处理。该锁能够在 EPP 之外发挥作用,其旨在当 EPP 锁被移除的情况下以及在 EPP 之外执行操作的情况下,对域名进行保护。例如,在一些顶级域名(TLDs)中,域名联系人数据只存储在注册商处,永远不会传输到注册机构。在这些情况下,拥有一个非 EPP 锁定机制非常重要。

应用注册锁后,我们将使用一个特殊的非基于 EPP 的过程请求应用注册机构锁。需要注意的是,并非所有注册机构都提供注册机构锁服务。在某些情况下,我们可能无法采用最后这项锁定功能。

最后,创建一个安全的验证过程,以处理未来解锁或修改域名的任何请求。

包括开箱即用

我们的目标是使 Cloudflare 域名保护成现有扩展性最强的安全域名解决方案。我们希望确保对客户最重要的域名—关键任务、高价值域名 — 能够获得安全保护。

明确包含在 Cloudflare Enterprise 合同下的符合条件的域名,并可以包含在我们的域名保护注册服务中,而无需额外费用。而且,正如我们前面所提到的,这也将涵盖注册和更新费用—因此,保护您的域名将会减少您的担忧,也无需再担心费用问题。

您愿意为您的域名采用 Cloudflare 域名保护吗?请联系您的客户经理,告知您的兴趣。更多细节将在 2022 年第一季度初公布。